none
Sdileni slozky na Windows Server v domene.

    Dotaz

  • Mam hloupou otazku ohledne sdileni. Nedari se mi nasdilet slozku pro konkretni uzivatele tak abych nemusel pouzit odepreni opravneni.

    Rekneme mam server Win 2000 (PDC) s nazvem W2K. Na lokalnim disku D: tohoho stroje chci nasdilet slozku D:\SHARE1 tak
    at je pristupna jako \\W2K\SHARE1 pro skupinu uzivatelu s nazvem DriveL.

    Jak nejlepe mam nastavit opravneni na share a jake opravneni na filesystem ?

    středa 6. dubna 2011 8:33

Odpovědi

  • Obecne:

    • na SHARE se nastavuji skupinam/uzivatelum MAXIMALNI potrebna prava. Tzn. ma-li mit dana skupina pravo zapisovat do JEDINEHO souboru v cele nasdilene strukture musi mit na share pravo change.
    • na urovni NTFS se pak DOLADI potrebna prava

    Logicky proto ze se pri kontrole pristupu kombinuji share a NTFS permissions pricemz share permissions jsou hrubsi a samozrejme z principu neumoznuji dedeni atd.

    MP

    středa 6. dubna 2011 12:40
    Vlastník
  • Este jednu vec. Deje sa to len na tomto servri? Ked Share vytvorite na inom domenovom PC ( nie DC, ale member server, pokial mozno tiez Win2000 ), date tam skupinu DriveL na NTFS aj na Share Permissions, tiez access denied ?

    Boris

    čtvrtek 7. dubna 2011 6:17
  • Ano

    MP

     

    čtvrtek 14. dubna 2011 8:51
    Vlastník

Všechny reakce

  • 1. Problem bude spocivat v tom, ze zrejme nemate zrusene dedeni z d:\ na SHARE1

    2. V zabezpeceni muzete odstranit Users a pridejte domenovou skupinu

    3. Vlastni nastaveni pro sdileni a zabezpeceni uz zavisi na tom, co mate naplanovano, aby vybrani uzivatele mohli delat.

    středa 6. dubna 2011 9:32
    Vlastník
  • Na celem disku D:\ mam nastaveno opravneni pro skuinu DriveL (rw) + DOMAIN\Administrators. Ve sdileni na D:\SHARE1 mam pridanou skupinu DriveL (Full Control). Stale Pristup zamitnut.

    středa 6. dubna 2011 9:43
  • To je velmi nestandardni nastaveni a ja bych to tak nedelal. Rekl bych, ze jste se "odrizl" na nepravem miste. V "zabezpeceni" rootu disku musi byt lokalni ucty pro system, lokalni administratory a lokalni uzivatele. Pripadna obava, ze by se z nadrazeneho adresare nekdo dostal na root je zbytecna.

    Na d:\ nechavam ucty defaultni nastaveni, oddeluji dedeni na sdileny adresar a prava a sdileni nastavuji jen na sdilenem adresari. Az na vyjimky se snazim davat specialni prava, tedy jen to, co uzivatele potrebuji.

    • Označen jako odpověď Tomáš Sapík středa 6. dubna 2011 10:34
    • Zrušeno označení jako odpověď Tomáš Sapík středa 6. dubna 2011 10:38
    středa 6. dubna 2011 10:18
    Vlastník
  • Aha, takze je tu problem v pristupe na share ..

    Mam par kontrolnych otazok - Maju uzivatelia skupiny DriveL ( predpokladam, ze je to domenova skupina ) pristup na ine zdielane adresare ? Napriklad na \\w2k\sysvol ? ( ten by tam urcite mal byt, ved je to domenovy radic, ze ... ).

    Ak na mate na dany adresar ( D:\Share1 ) urcite nastavene NTFS permissions pre skupinu domena\DriveL ( minimalne List Folder Contents, Read ) a share permissions nastavite Everyone - Read, stale nemate pristup ?

    Server je Windows 2000, ako pisete. Co klienti ? Vsetko clenovia tej samej domeny, alebo aj workgroup masiny ?

     

    Boris

    středa 6. dubna 2011 12:26
  • Ano problem je s pristupem na share.

    Bod 1: Ano je to domenova skupina. Ano maji pristup ik jinym sidlenym prostredkum (kde vsak pristup na share i file permissions ma skupina Authenticated Users .. jde o public disk ktery je vsem pristupny ), \\w2k\sysyvol prirozenen existuje a maji k nemu pristup.

    Bod 2: Ano file permissions pro skupinu nastaveny jsou, a shrare permisions ma skupina Authenticated Users a i presto stale nemaji pristup.

    Bod 3: Vsichni clienti jsou clenove te same domeny. Na lokalnim stroji nemaji pristupy zadne.

    středa 6. dubna 2011 12:35
  • Obecne:

    • na SHARE se nastavuji skupinam/uzivatelum MAXIMALNI potrebna prava. Tzn. ma-li mit dana skupina pravo zapisovat do JEDINEHO souboru v cele nasdilene strukture musi mit na share pravo change.
    • na urovni NTFS se pak DOLADI potrebna prava

    Logicky proto ze se pri kontrole pristupu kombinuji share a NTFS permissions pricemz share permissions jsou hrubsi a samozrejme z principu neumoznuji dedeni atd.

    MP

    středa 6. dubna 2011 12:40
    Vlastník
  • Sdileni (share) je defaultne nastavene na Read pro "kazdeho". To musite zmenit:

    As a best practice, it is most efficient to configure share permissions with Authenticated Users having Full Control access. Then, the NTFS permissions should configure each group with standard permissions. This provides excellent security for local and network access to the resource. It also provides excellent protection of the resource for when it is backed up and when the resource name is changed or relocated. As I said earlier, the NTFS permissions will protect the resource even if the share permissions are set to Full Control access.

    Docela by mne zajimalo jake prava mate nastavene na d:\ a d:\SHARE1

    středa 6. dubna 2011 13:08
    Vlastník
  • Chapu jak by to melo fungovat. Na share ma skupina DriveL prava rw. Na ntfs ma skupina DriveL pro danny adresar take prava rw. Stale vsak acces denied.

    čtvrtek 7. dubna 2011 5:59
  • Opravneni D:\

    W2K\Administrator (FULL), SYSTEM (FULL), CREATOR OWNER (FULL for Folders a subfolders) ... toto jsou standardni opravneni ktera na disku byla
    Authentization Users (FULL for This Folder a Files) .. tyhle jsem tam dal na misto Everyone kteri meli FULL

    Opravneni D:\SHARE1

    Dedi veskera opravneni z D:\ a navic sem pridal skupinu ShareL (FULL)

    čtvrtek 7. dubna 2011 6:04
  • Este jednu vec. Deje sa to len na tomto servri? Ked Share vytvorite na inom domenovom PC ( nie DC, ale member server, pokial mozno tiez Win2000 ), date tam skupinu DriveL na NTFS aj na Share Permissions, tiez access denied ?

    Boris

    čtvrtek 7. dubna 2011 6:17
  • Na jinem serveru (tentokrat Win 2003) se to chova jinak. Jakmile na adresari D:\SAHRE1 je pridano opravneni skupiny DriveL tak k tomu share maji pristup vsichni domenovi uzivatele .. ne tedy clenove teto skupiny jak sem predpokladal. Jakmile to opravneni odstranim tak je pristup prirozene zamitnut.

    čtvrtek 7. dubna 2011 6:32
  • Omlovam se za prispevek do toho stareho case nicmene bych se chtel zeptat na posledni vec. Podarilo se mi zprovoznit opravneni tak jak si predstavoval. S tim ze sem zpozoroval jednu zajimavou vec: rekneme ze chci novemu uzivateli zpristupnit zmineny share -> pridam jej do skupiny DriveL. Uzivatel ma vsak pristup na dany share az po odhlaseni a prihlaseni....je toto normalni chovani ?

    čtvrtek 14. dubna 2011 8:37
  • Ano

    MP

     

    čtvrtek 14. dubna 2011 8:51
    Vlastník